ประเด็นสำคัญ:
- จากข้อมูลของ SecondFi ข้อบกพร่องดังกล่าวเกี่ยวข้องกับ nonce ที่กำหนดซึ่งทำให้พวกเขาสามารถสร้างคีย์ส่วนตัวจากข้อมูล blockchain ของกระเป๋าเงินที่ได้รับผลกระทบ
- ที่อยู่กระเป๋าเงินแรกที่ใช้ในหมู่ผู้ที่ได้รับผลกระทบถือเป็นกระเป๋าเงินที่ถูกเปิดเผยอย่างมาก
- ทีมงานเตือนผู้ใช้ว่าอย่ากู้คืนวลีเริ่มต้นหรือย้ายเนื้อหาจนกว่าจะมีการเปิดเผยขั้นตอนการกู้คืนอย่างเป็นทางการ
SecondFi มี แบ่งปัน ข้อมูลใหม่เกี่ยวกับการละเมิดความปลอดภัยล่าสุด เผยให้เห็นว่าการโจมตีไม่ได้เป็นการละเมิดแอปพลิเคชันกระเป๋าเงินที่เสียหายมากเท่ากับปัญหาการลงนามในการเข้ารหัส การเปิดเผยดังกล่าวได้ให้คำอธิบายที่โปร่งใสที่สุดจนถึงปัจจุบันว่ากระเป๋าสตางค์ Cardano ที่ถูกบุกรุกสามารถถูกละเมิดได้อย่างไร
การอัปเดตความปลอดภัยที่สำคัญ
ตามที่ระบุไว้ เราได้ระบุสาเหตุของเหตุการณ์แล้ว อยู่ในระดับที่อยู่ผู้ลงนามซอฟต์แวร์ที่ได้รับผลกระทบใช้ข้อบกพร่องในการรับข้อมูล nonce ที่กำหนดขึ้นเอง ทุกครั้งที่ที่อยู่ลงนามในธุรกรรม จะมีข้อมูลรั่วไหลเพียงพอที่จะ…
– SecondFi (@secondfiapp) 25 มิถุนายน 2569
อ่านเพิ่มเติม: การใช้ประโยชน์จาก SecondFi ทำให้เกิดความกลัวการสูญเสียมูลค่า 20 ล้านเหรียญทั่วทั้ง ADA
SecondFi ระบุสาเหตุที่แท้จริง
ทีมงานระบุว่าข้อบกพร่องดังกล่าวปรากฏในซอฟต์แวร์การลงนามที่เกี่ยวข้อง เนื่องจากมีข้อผิดพลาดในการรับข้อมูล nonce ที่กำหนดได้
ในแต่ละครั้งที่ที่อยู่ที่มีช่องโหว่ลงนามในธุรกรรม จะสามารถสร้างคีย์ส่วนตัวขึ้นใหม่ทางคณิตศาสตร์ได้ โดยใช้ข้อมูลบล็อกเชนสาธารณะ
จากทางบริษัทระบุว่าปัญหาอยู่ที่ระดับที่อยู่ ซึ่งหมายความว่าการโอนเงินจากแอปกระเป๋าเงินหนึ่งไปยังอีกแอปหนึ่งหรือโอนเข้ากระเป๋าเงินอื่นไม่สามารถขจัดความเสี่ยงได้
จากข้อมูลของ SecondFi ที่อยู่กระเป๋าสตางค์ที่พบบ่อยที่สุด ซึ่งรู้จักกันในชื่อที่อยู่แรกหรือดัชนี 0 นั้นมีความเสี่ยงมากที่สุด เนื่องจากโดยปกติแล้วจะเป็นที่ที่ผู้ใช้จัดเก็บธุรกรรมของตน
การกู้คืนวลีเริ่มต้นไม่สามารถแก้ปัญหาได้
โครงการได้ออกคำเตือนหลายครั้งว่าผู้ใช้ไม่ควรป้อนวลีการกู้คืนลงในกระเป๋าเงินอื่น หากคุณทราบที่อยู่กระเป๋าเงินที่คุณทำ Seedวลีหาย เพียงแค่สร้าง Seedวลีนั้นขึ้นมาใหม่จะทำให้คุณได้รับที่อยู่ที่ถูกบุกรุกเหมือนกันทุกประการ
SecondFi อธิบายว่าเงินทุนของผู้ใช้อาจยังคงสูญหายได้หากพวกเขาเปลี่ยนเงินทุนจากที่อยู่ที่ถูกบุกรุก
รางวัลจากการปักหลักอาจมีช่องโหว่เช่นกัน
ทีมงานยังระบุด้วยว่าการปฏิเสธรางวัลจากการปักหลักอาจทำให้เกิดความเสี่ยงด้านความปลอดภัยเพิ่มเติม
การถอนเงินที่นี่ใช้ข้อมูลประจำตัวของการเดิมพันซึ่งอาจถูกบุกรุกได้ บางครั้งเงินที่ถอนออกจากการปักหลักจะถูกปรับใช้ใหม่โดยอัตโนมัติไปยังที่อยู่เริ่มต้น ซึ่งแฮกเกอร์อาจควบคุมได้แล้ว
SecondFi กล่าวว่าคู่แข่งที่ติดตาม mempool สามารถทำธุรกรรมแบบ front-run และโจมตีทรัพย์สินได้ทันทีที่ได้รับการยืนยันบนบล็อคเชน
อ่านเพิ่มเติม: 5.87 ล้านเหรียญสหรัฐ Ethereum ใช้ประโยชน์จากปริมาณที่เชื่อถือได้ เนื่องจาก 1inch ปฏิเสธการละเมิดโปรโตคอลใด ๆ
กระบวนการกู้คืนยังอยู่ระหว่างการพัฒนา
นับตั้งแต่การใช้ประโยชน์ดังกล่าวเผยแพร่สู่สาธารณะ มีข้อมูลที่ขัดแย้งกันแพร่กระจายไปทั่วชุมชน Cardano บริษัท เขียน ผู้ใช้บางคนแนะนำให้ย้ายกระเป๋าเงินทันที ส่วนบางคนแนะนำให้ระดมทุนแอปพลิเคชันอื่นบน Cardano
คำแนะนำอย่างเป็นทางการเพียงอย่างเดียวคือส่งคำร้องขอการสนับสนุนผ่านพอร์ทัลสนับสนุนของโปรเจ็กต์ และรอคำแนะนำในการกู้คืน ทีมงานระบุว่าการดำเนินการอย่างอิสระอาจทำให้ยากขึ้นในอนาคตในการตรวจสอบสินทรัพย์และขอเงินคืน
ข้อกังวลด้านความปลอดภัยขยายไปไกลกว่าแอปพลิเคชัน Wallet
การเปิดเผยล่าสุดชี้ให้เห็นว่าเหตุการณ์ดังกล่าวอาจกลายเป็นหนึ่งในความล้มเหลวด้านความปลอดภัยระดับกระเป๋าเงินที่ร้ายแรงที่สุดในระบบนิเวศของ Cardano
การประเมินก่อนหน้านี้เชื่อมโยงการโจมตีกับ ADA และโทเค็นอื่น ๆ หลายล้านดอลลาร์ ก่อนหน้านี้นักวิจัยด้านความปลอดภัยแนะนำว่าความเสี่ยงรวมอาจเกิน 20 ล้านดอลลาร์ หากมีที่อยู่ที่ถูกบุกรุกเพิ่มเติมรวมอยู่ด้วย จนถึงขณะนี้ยังไม่มีการระบุช่องโหว่ภายในโปรโตคอลพื้นฐานของ Cardano
